1. 禁止MySql以管理员账号权限运行

为惠阳等地区用户提供了全套网页设计制作服务，及惠阳网站建设行业解决方案。主营业务为成都网站设计、网站制作、惠阳网站设计，以传统方式定制建设网站，并提供域名空间备案等一条龙服务，秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求，就会得到认可，从而选择与我们长期合作。这样，我们也可以走得更远！

MySql应该使用非管理员账号运行，以普通账户安全运行mysqld

加固方法：在my.cnf配置文件中配置user=mysql

2. 设置root用户口令并修改登录名，且不存在空密码账户

• 修改root用户密码，在MySql控制台中执行：

> set password for 'root'@'localhost'=password('new_password'); #实际操作中，只需将上面new_password换成实际的口令即可

• 为了更有效的改进root用户的安全性，就是为其改名。需要更新表用户中的mysql数据库。在控制台中执行：

> use mysql; > update user set user="another_username" where user="root"; > flush privileges;

然后，可用通过$ mysql -u another_username -p 访问mysql控制台了。

• 数据库中所有用户都应该配置密码，通过以下语句可以查询是否有空密码账户：

> select * from mysql.user where user="";

3. 配置合适的密码强度，最长使用期限小于90天

• 数据库用户Miami复杂性包括长度、大小写和特殊字符。

加固方法：添加以下配置行到全局配置

plugin-load = validate_password.so        #加载密码强度验证插件 validate_password_length = 14             #密码长度最小为14，默认为8       validate_password_mixed_case_count = 1    #至少包含的小写字母个数和大写字母个数 validate_password_number_count = 1        #至少包含的数字个数 validate_password_special_char_count = 1  #至少包含的特殊字符个数 validate_password_policy = MEDIUM         #密码强度等级，有三种：0/LOW、1/MEDIUM、2/STRONG，默认为MEDIUM

关于密码强度的三种等级，要求如下：

Policy                 Tests Performed 0 or LOW               Length 1 or MEDIUM            Length; numeric, lowercase/uppercase, and special characters 2 or STRONG            Length; numeric, lowercase/uppercase, and special characters; dictionary file

• 用户密码过期时间小于90天，在控制台执行：

> set global default_password_lifetime=90;

4. 降低用户的数据库特权，只有管理员有完整的数据库访问权限

• MySql数据库中mysql.user和mysql.db表列出了可以授权（或拒绝）给mysql用户的各种权限，通常，这些特权不应该对每个mysql用户都可用，而且通常只保留给管理员用户。

加固方法：审计每项特权授予的用户，对于非管理用户，使用revoke语句来适当删除权限。

# mysql.user表中的特权有： file_priv：表示是否允许用户读取数据库所在主机的本地文件； Process：表示是否允许用户查询所有用户的命令执行信息； Super_priv：表示用户是否有设置全局变量，管理员调试等高级别权限； Shutdown_priv：表示用户是否可以关闭数据库； Create_user_priv：表示用户是否可以创建或删除其他用户； Grant_priv：表示用户是否可以修改其他用户权限

查询正在执行的sql语句：

> show processlist; # 或者 > use information_schema; > select * from PROCESSLIST where info is not null;

使用如下命令查看拥有对应权限的数据库账号：

select host,user from mysql.user where File_priv='Y';

如果存在非管理员用户，使用如下命令进行权限回收：

revoke file on *.* from 'mysql';

5. 禁止或限制远程访问，确保特定主机才拥有访问权限

> grant all on *.* to 'root'@'%';

• 上面这个授权，允许root用在所有主机上对数据库的所有执行权限，要限制特定主机可以采用：

> grant all on *.* to 'root'@'localhost'; > grant all on *.* to 'root'@'hostname_ip'; #可以是ip或者主机名

如果，要取消在某台主机上的访问权限，可以采用：

> revoke all on *.* from 'root'@'hostname_ip';

如果，只授权部分权限，可以采用：

> grant select on mydb.* to 'someuser'@'hostname_ip';

6. 配置MySql日志便于审计

另外有需要云服务器可以了解下创新互联cdcxhl.cn，海内外云服务器15元起步，三天无理由+7*72小时售后在线，公司持有idc许可证，提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案，具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势，专为企业上云打造定制，能够满足用户丰富、多元化的应用场景需求。

当前题目：mysql系统安全管理与优化-创新互联
本文链接：http://www.tsicrk.com/article/pgsgo.html